Crean dos versiones falsas de ChatGPT para engañar con correos y páginas web falsas: BadGPT y FraudGPT

La inteligencia artificial se está convirtiendo en una herramienta con la que los ciberdelincuentes pueden crear correos electrónicos falsos con mayor facilidad. Gracias a la IA generativa, es posible sortear problemas como la traducción de idiomas y la redacción, que normalmente eran indicios de una estafa en progreso. Ahora existen chatbots especializados en la elaboración de mensajes y códigos maliciosos.

Estas plataformas toman el modelo de herramientas como ChatGPT y Gemini, pero las adaptan para crear “versiones manipuladas” y de esa forma crear contenido que les permita generar “sitios web falsos, escribir malware y personalizar mensajes para hacerse pasar por ejecutivos y otras entidades de confianza”, según cuenta The Wall Street Journal.

BadGPT y FraudGPT son algunas de esas aplicaciones que se están usando para diseñar ataques de phishing más complejos, que son difíciles de distinguir y que al ser elaborados por IA han recibido el nombre de Spear-phishing.

Un peligro difícil de controlar

Vish Narendra, CIO de Graphic Packaging International, le dijo a The Wall Street Journal que estos correos electrónicos generados con IA suelen estar personalizados para parecer más legítimos, lo que aumenta su efectividad en la suplantación de identidad y el engaño.

Es por eso que los expertos en ciberseguridad advierten sobre el creciente riesgo que representan estos correos electrónicos generados por IA. Brian Miller, CISO de Healthfirst, asegura que “la comunidad de ciberdelincuentes nos ha adelantado”, al punto que en su compañía han visto un aumento en los ataques que se hacen pasar por proveedores de facturas en los últimos dos años, suplantando su identidad y solicitando pagos.

De la mano del aumento de intentos de ataque está la dificultad por detectar estos correos creados en chatbots. Avivah Litan, analista de Gartner, destaca que los correos electrónicos generados por IA están diseñados para evadir la detección, lo que hace que sean especialmente peligrosos para las empresas que confían en soluciones de ciberseguridad tradicionales.

Esto se da porque, además de permitirles generar contenido con mejor calidad de escritura, los atacantes pueden enseñar a la inteligencia artificial a escribir malware y entrenarlo con técnicas de detección extraídas del software de defensa de ciberseguridad. Por lo que no solo se usa para escribir correos, sino también para generar código malicioso.

Ante esta creciente amenaza, las empresas de seguridad cibernética están intensificando sus esfuerzos para combatir los correos electrónicos de fraude generados por IA. Abnormal Security, un proveedor de seguridad de correo electrónico, ha utilizado la IA para identificar miles de correos electrónicos maliciosos generados por IA y ha experimentado un aumento significativo en los ataques dirigidos y personalizados.

Sin embargo, detener estos ataques no es fácil. Como señaló un portavoz de OpenAI a The Wall Street Journal, la compañía está constantemente trabajando para hacer que sus sistemas sean más robustos contra este tipo de abuso, pero reconocen los desafíos que enfrentan por el crecimiento de esta modalidad y su constante transformación.

Uno de estos retos es que gran parte de estos chatbots maliciosos están abiertos al público, es decir, no hay que acceder a la dark web para interactuar con ellos, sino que se pueden encontrar buscándolos directamente en internet.

Incluso Andy Sharma, CIO y CISO de Redwood Softwar, contó que gracias a videos en X y en YouTube supo cómo crear una prueba de phishing para sus empleados, usando herramientas abiertas al público o que costaban menos de un dólar.

Cómo protegerse ante estos ataques generados por IA

Aunque los correos electrónicos de fraude generados por IA pueden ser difíciles de detectar, existen medidas que las empresas y los usuarios en casa pueden tomar para protegerse.

En el caso de las compañías es fundamental capacitar a los empleados para que reconozcan los signos de un correo electrónico sospechoso y fomentar una cultura de seguridad cibernética en toda la organización.

Mientras que los usuarios hogareños tienen que implementar prácticas de mayor desconfianza. Aunque un correo falso esté bien escrito, sin errores de ortografía o de redacción, sigue siendo un mensaje que tiene contenido que está fuera de lo común: como premios en los que no hemos participado o problemas de acceso a cuentas bancarias que no son notificadas por esta vía.

Siempre que un mensaje de este tipo nos invite a descargar un archivo o hacer clic en un enlace, debemos dudar. A pesar de que los sistemas de seguridad no lo detecten, nosotros somos la barrera principal y ante el crecimiento de estos contenidos falsos debemos estar cada vez más pendientes.